위협 사냥 2023이란 무엇입니까? [완전 가이드]

게시 됨: 2023-03-22

사이버 위협 사냥은 위협 사냥꾼이 회사 네트워크 내에 숨겨져 있을 수 있는 보안 위험을 찾는 인터넷 보안의 능동적 방법 입니다.

사이버 헌팅은 자동화된 위협 탐지 시스템과 같은 보다 수동적인 사이버 보안 헌팅 기술과 달리 네트워크의 자동화된 방어 메커니즘을 피할 수 있는 이전에 탐지되지 않았거나 식별되지 않았거나 해결되지 않은 위협을 적극적으로 찾습니다.

목차

위협 헌팅이란 무엇입니까?

네트워크에서 탐지되지 않고 잠복하는 사이버 위협을 적극적으로 찾는 행위를 위협 헌팅(Threat Hunting)이라고 합니다. 사이버 위협 헌팅은 초기 엔드포인트 보안 조치를 통과한 악의적인 행위자를 찾기 위해 환경을 샅샅이 뒤집니다.

일부 위험은 더 정교하고 발전된 반면 대다수는 보안 시스템을 통과할 수 없습니다. 몇 주 동안 공격자는 더 많은 데이터를 수집하기 위해 네트워크를 통해 천천히 전진하는 동안 시스템과 파일에서 탐지되지 않은 상태로 남아 있을 수 있습니다.

이 절차를 수행하는 동안 몇 주 또는 몇 달이 걸릴 수 있습니다. 적극적으로 사냥하지 않고도 보안 도구와 직원의 탐지를 쉽게 피할 수 있습니다.

Threat Hunting

위협 헌팅이 중요한 이유는 무엇입니까?

정교한 위협은 자동화된 사이버 보안을 회피할 수 있으므로 위협 추적이 중요합니다.

자동화된 보안 도구와 계층 1 및 2 SOC(보안 운영 센터) 분석가가 위협의 약 80% 를 처리할 수 있어야 하는 경우에도 여전히 위협의 나머지 20%에 대해 걱정해야 합니다.

나머지 20%의 위협은 복잡하고 큰 해를 끼칠 가능성이 더 높습니다.

공격자는 은밀하게 네트워크에 진입하여 조용히 정보를 수집하고 중요한 문서를 검색하거나 환경을 돌아다닐 수 있는 로그인 자격 증명을 얻으면서 몇 달 동안 그곳에 머무를 수 있습니다.

많은 기업은 적이 탐지를 성공적으로 피하고 공격이 조직의 방어를 뚫은 후 지능형 지속 위협이 네트워크에 머무르는 것을 방지하는 데 필요한 정교한 탐지 기술이 부족합니다.

따라서 위협 사냥은 모든 방어 전략의 중요한 요소입니다.

위협 사냥의 유형

IBM의 공식 웹 사이트는 세 가지 주요 유형의 위협 사냥을 매우 적절하게 설명했습니다. 블로그에 따르면 위협 ​​사냥은 다음과 같은 유형입니다.

1. 구조화된 사냥

공격 표시(IoA) 와 공격자의 전술, 방법 및 절차 (TTP)는 체계적인 사냥의 기반이 됩니다.

모든 사냥은 계획되고 위협 행위자의 TTP를 기반으로 합니다. 이 때문에 사냥꾼은 공격자가 환경을 방해할 기회를 갖기 전에 위협 행위자를 자주 인식합니다.

2. 구조화되지 않은 사냥

임시 헌트는 많은 침해 지표 (IoC) 중 하나인 트리거를 기반으로 시작됩니다. 이 트리거는 일반적으로 사냥꾼이 사전 및 사후 감지 패턴을 찾도록 촉구하는 데 사용됩니다.

데이터 보존 및 이전에 연결된 범죄가 허용하는 범위 내에서 사냥꾼은 계획을 수립하기 위해 연구를 수행할 수 있습니다.

3. 상황 또는 개체 중심

상황적 가설은 조직의 내부 위험 평가 또는 IT 인프라 고유의 경향 및 약점 조사를 통해 생성될 수 있습니다.

검토 시 진행 중인 사이버 위협의 가장 최근 TTP를 보여주는 일반 대중으로부터 수집한 공격 데이터는 엔터티 지향 리드가 생성되는 곳입니다. 그런 다음 위협 사냥꾼은 이러한 특정 행동에 대해 주변 환경을 스캔할 수 있습니다.

위협 헌팅은 어떻게 작동합니까?

인간적인 측면과 소프트웨어 솔루션의 방대한 데이터 처리 능력이 결합되어 사이버 위협을 효과적으로 사냥합니다.

인간 위협 사냥꾼은 위협을 사전에 발견하고 제거하는 데 도움이 되는 정교한 보안 모니터링 및 분석 도구의 데이터에 의존합니다.

그들의 목표는 솔루션과 인텔리전스/데이터를 사용하여 육지에서 생활하는 것과 같은 전략을 사용하여 정상적인 방어를 피할 수 있는 적을 찾는 것입니다.

직감, 윤리적 및 전략적 사고, 창의적 문제 해결은 모두 사이버 사냥 프로세스의 필수 구성 요소입니다.

조직은 자동화된 위협 탐지 시스템에 단순히 의존하는 것과는 반대로 " Cyber ​​Threat Hunters "가 제공하는 이러한 인간의 특성을 활용하여 위협을 더 빠르고 정확하게 해결할 수 있습니다.

사이버 위협 사냥꾼

사이버 위협 사냥꾼은 누구입니까?

Cyber ​​Threat Hunters는 비즈니스 보안에 인간적인 손길을 더해 자동화된 조치를 강화합니다. 그들은 심각한 문제가 되기 전에 위협을 식별, 기록, 주시하고 근절하는 숙련된 IT 보안 전문가입니다.

때때로 그들은 외부 분석가이지만 이상적으로는 회사 IT 부서의 작업에 대해 잘 알고 있는 보안 분석가입니다.

위협 사냥꾼은 보안 정보를 샅샅이 뒤집니다. 숨겨진 맬웨어나 공격자는 물론 컴퓨터가 놓쳤거나 처리되었다고 생각했지만 그렇지 않은 의심스러운 행동 패턴을 찾습니다.

또한 향후 동일한 종류의 침입이 발생하지 않도록 비즈니스 보안 시스템을 패치하는 데 도움이 됩니다.

위협 헌팅이란?

위협 사냥을 위한 전제 조건

위협 사냥꾼은 사이버 위협 사냥이 효과적이기 위해 이상 징후를 더 잘 발견하기 위해 먼저 예상되거나 승인된 사건의 기준선을 구축해야 합니다.

그런 다음 위협 사냥꾼은 이 기준선과 최신 위협 인텔리전스를 사용하여 위협 탐지 기술로 수집한 보안 데이터 및 정보를 검토할 수 있습니다.

이러한 기술에는 MDR(관리형 탐지 및 대응) , 보안 분석 도구 또는 SIEM(보안 정보 및 이벤트 관리) 솔루션이 포함될 수 있습니다.

위협 사냥꾼은 엔드포인트, 네트워크 및 클라우드 데이터를 비롯한 다양한 소스의 데이터로 무장한 후 시스템에서 잠재적인 위험, 그늘진 활동 또는 표준에서 벗어나는 트리거를 검색할 수 있습니다.

위협 사냥꾼은 위협이 발견되거나 알려진 위협 인텔리전스가 새로운 가능한 위협을 가리키는 경우 가설을 세우고 광범위한 네트워크 조사를 수행할 수 있습니다.

위협 사냥꾼은 이러한 조사 중에 위협이 유해한지 양성인지 또는 네트워크가 새로운 사이버 위협으로부터 적절하게 보호되는지 여부를 확인하기 위해 정보를 찾습니다.

위협 사냥 방법론

위협 사냥꾼은 적이 시스템에 이미 존재한다고 가정하고 조사를 시작하고 적대적인 활동의 존재를 가리킬 수 있는 이상한 행동을 찾습니다.

이러한 조사의 시작은 사전 예방적 위협 사냥의 세 가지 범주 중 하나에 해당하는 경우가 많습니다.

조직의 시스템과 정보를 능동적으로 방어하기 위해 세 가지 전략 모두 위협 인텔리전스 리소스를 최첨단 보안 기술과 결합하는 인력 노력을 포함합니다.

1. 가설 중심 조사

크라우드 소싱 공격 데이터의 방대한 데이터베이스를 통해 발견된 새로운 위험은 공격자(TTP)가 사용하는 가장 최근의 전략, 기술 및 절차에 대한 정보를 제공하는 가설 기반 조사를 자주 촉발합니다.

위협 사냥꾼은 새로운 TTP가 감지되면 공격자의 고유한 행동이 자신의 환경에 존재하는지 확인합니다.

2. 식별된 공격 지표 또는 침해 지표에 기반한 조사

전술적 위협 인텔리전스를 사용하는 이 위협 헌팅 방법은 새로운 위협에 연결된 알려진 IOC 및 IOA를 나열합니다. 그런 다음 위협 사냥꾼은 이를 트리거로 활용하여 잠재적인 은밀한 공격이나 진행 중인 유해한 활동을 찾을 수 있습니다.

3. 고급 분석 및 기계 학습 조사

세 번째 방법은 기계 학습 및 고급 데이터 분석을 사용하여 방대한 양의 데이터를 통해 마이닝하여 가능한 적대적 활동을 가리킬 수 있는 이상 징후를 찾습니다.

이러한 변칙은 은밀한 위험을 찾기 위해 지식이 풍부한 분석가가 조사하는 사냥 단서가 됩니다.

프록시로 위협 찾기

위협 사냥꾼은 웹 프록시 레코드에서 풍부한 정보를 찾을 수 있습니다. 이러한 프록시는 요청을 수신하는 서버 또는 장치와 요청을 보내는 장치 사이의 통로 역할을 합니다.

웹 프록시에서 생성된 공통 데이터 집합을 활용하여 비정상적이거나 의심스러운 동작을 발견할 수 있습니다.

예를 들어 조직의 위협 사냥꾼은 웹 프록시 로그에 포함된 위험 정보를 분석하고 cURL 및 SharePoint 사이트 와 같은 사용자 에이전트에서 의심스러운 활동을 발견할 수 있습니다.

그들은 문제에 주의를 기울이고 요청이 합법적이며 DevOps 팀에서 시작되었음을 발견합니다.

이러한 로그를 검사하고 혼합 중에서 악의적인 개인을 찾기 위해 위협 사냥꾼은 다양한 프로토콜과 방법론을 사용합니다. 웹 프록시 로그는 종종 다음 세부 정보를 제공합니다.

  • 대상 URL(호스트 이름)
  • 대상 IP
  • HTTP 상태
  • 도메인 카테고리
  • 규약
  • 대상 포트
  • 사용자 에이전트
  • 요청 방법
  • 장치 작업
  • 요청된 파일 이름
  • 지속

**그리고 더!

프록시 로그를 사용한 위협 추적은 어떻게 작동합니까?

이제 위협 헌팅을 이해했으므로 웹 프록시 로그가 이러한 헌터를 어떻게 지원하는지 살펴보겠습니다. 웹 프록시 로그에는 여러 데이터 조각이 포함되어 있기 때문에 분석가는 네트워크에 관여하는 취약점과 악의적인 당사자를 찾기 위해 다양한 방법을 사용해야 합니다.

1. 차단된 트래픽 검토:

조직의 사용자에게 금지되었을 수 있는 특정 웹 사이트에 사용자가 액세스하게 된 원인을 찾는 것이 중요합니다. 컴퓨터가 감염되었음을 의미할 수 있습니다.

2. IP 요청이 있는 URL:

이 필터링은 하드코딩된 IP 주소를 사용하여 DNS 보안 제한을 우회하는 로그를 발견할 수 있습니다.

3. 파일 확장자가 있는 URL:

이 필터는 .doc, .pdf 및 .exe와 같은 파일 확장자를 가진 잠재적으로 위험한 URL을 표시합니다. 공격자는 매크로 기능이 있는 doc 또는 pdf 파일을 자주 사용하여 컴퓨터나 네트워크에 맬웨어를 심습니다.

4. 일반적이지 않은 URL이 있는 알려진 리퍼러 URL:

인기 추천 도메인과 고유 URL이 포함된 로그를 필터링하면 피싱 링크를 더 쉽게 식별할 수 있습니다.

위협 헌팅과 위협 인텔리전스의 차이점

위협 인텔리전스는 일반적으로 기계 학습 및 인공 지능을 사용하는 자동화된 보안 시스템에서 수집하고 검사하는 침입 시도 또는 성공에 관한 데이터 모음입니다.

이 정보는 악의적인 사용자에 대한 철저한 시스템 전체 검색을 수행하기 위해 위협 추적에 사용됩니다.

즉, 위협 ​​사냥은 위협 인텔리전스가 끝나는 지점에서 시작됩니다. 생산적인 위협 사냥을 통해 야생에서 아직 발견되지 않은 위험도 찾을 수 있습니다.

위협 지표는 때때로 위협 헌팅에서 단서 또는 가설로 사용됩니다. 맬웨어나 공격자가 남긴 가상 지문, 이상한 IP 주소, 피싱 이메일 또는 기타 비정상적인 네트워크 트래픽은 모두 위협 표시기의 예입니다.

빠른 링크:

  • 사이버 랩 검토
  • CyberImpact 검토
  • CyberVista IT 교육 검토
  • 최고의 사이버 보안 제휴 프로그램

결론: Threat Hunting 2023이란 무엇입니까?

사고 감지, 대응 및 해결의 일반적인 절차는 위협 추적으로 강력하게 보완됩니다. 비즈니스를 위한 현실적이고 실용적인 전략은 예상치 못한 위협에 대비하여 자신을 강화하는 것입니다.

그럼에도 불구하고 프록시 로그를 모니터링하면 웹 사이트를 스크래핑할 수 있는 사용자를 식별할 수도 있습니다. 합법적인 작업을 완료하려고 시도하는 사람들은 이러한 상황에서 문제에 봉착합니다.

여러 프록시, 특히 실제 IP 주소를 숨기는 데 도움이 되는 프록시를 사용함으로써 사용자는 위협 사냥꾼이 자신의 활동을 발견하지 못하도록 방지할 수 있습니다.

또한 그들의 모든 활동에 대한 단일 IP 주소가 없기 때문에 그들의 로그는 이러한 사냥꾼들에게 위험 신호를 일으키지 않습니다.

이를 위해서는 위협 사냥 소프트웨어에 합법적으로 보이는 고품질 프록시가 필요합니다. 귀하의 질문에 답하기 위해 위협 사냥 소프트웨어는 기본적으로 위협 사냥 프로토콜 및 분석을 수행하는 프로그램입니다.

빠른 링크

  • 여행 요금 집계를 위한 최고의 프록시
  • 최고의 프랑스 프록시
  • 최고의 트립어드바이저 프록시
  • 최고의 Etsy 프록시
  • IPRoyal 쿠폰 코드
  • 최고의 TikTok 프록시
  • 최고의 공유 프록시